info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بدافزار سیستم‌های کنترل صنعتی TRITON- ظهور استاکس‌نتی جدید

خلاصه: بدافزار جدیدی با نام TRITON به تازگی شناخته شده که ابزار‌های کنترل صنعتی را مورد هدف قرار داده است. این بدافزار با هدف قرار دادن سیستم‌های کنترلی Triconex که وظیفه نظارت بر فرایند‌های صنعتی و انجام اقدامات لازم در صورت بروز حوادث را به عهده دارند مشکلاتی را در کارخانه‌ها و صنایع به وجود آورده‌اند. به دلیل نوع حمله و قدرت آن، که آن را قابل مقایسه با بدافزار‌های پیشرفته این حوزه همچون استاکس‌نت می‌کند، کارشناسان معتقدند که این بدافزار با حمایت دولتی ساخته شده است.

محققین امنیتی پرده از یک بدافزار پیشرفته برداشته‌اند که سیستم‌های کنترل صنعتی را هدف قرار داده است. این بدافزار پتانسیل انجام کارهای خطرناک و ایجاد خطرهای مرتبط با سلامتی و تهدیدات جانی را دارد.

این بدافزار که TRITON نام دارد، برای یک نوع خاص از ابزار‌های کنترل صنعتی مربوط به کنترل ایمنی این سیستم‌ها با مارک Triconex نوشته شده است. این سیستم کنترل اتوماسیون صنعتی وظیفه مانیتور بازده و کارایی سیستم‌های حیاتی را به عهده دارد و نسبت به شرایط خاص تصمیماتی را در سیستم اعمال می‌کند.

محققین شاخه mandiant‌ شرکت FireEye که غالبا فعالیت‌های خود را به خاور میانه متمرکز کرده‌اند این بدافزار را کشف نموده‌اند و بیان کرده‌اند این بدافزار توسط هکر‌های با حمایت دولتی توسعه یافته و موجب خسارت به یک سازمان شده‌اند. البته این کارشناسان اسمی از سازمانی که مورد حمله قرار گرفته و دولتی که از هکرها حمایت می‌کرده نبرده‌اند.

نکته جالب این است که این بدافزار پروتکل اختصاصی TriStation را هدف قرار داده است. این پروتکل یک پروتکل اختصاصی مهندسی و ابزار نگهداری است که توسط محصولات ایمنی کنترل صنعتی شرکت Triconex استفاده می‌شود و مستندات نحوه کارایی و طراحی آن به صورت عمومی منتشر نشده است. هکرها احتمالا با مهندسی معکوس توانسته‌اند به کارایی این پروتکل پی برده و بدافزار را طراحی کنند.

هکرها بدافزار را روی محیط کاربری ایمنی کنترل صنعتی که روی سیستم‌عامل ویندوز اجرا می‌شود با استفاده از تزریق بدافزار به برنامه رسمی این محصول بارگذاری کرده‌اند.

نسخه فعلی این بدافزار که مورد تحلیل قرار گرفته است دارای توانایی‌های زیادی است که شامل توانایی نوشتن و خواندن برنامه‌ها، نوشتن و خواندن کارایی‌های مختلف و کوئری‌های حالت کنترل‌کننده سیستم ایمنی اتوماسیون صنعتی است.

 با استفاده از این بدافزار مهاجم معمولا برنامه منطق سیستم ایمنی اتوماسیون صنعتی (SIS) را تغییر داده تا اشتباها خطا تشخیص داده و بدون این‌که خطری به وجود آمده باشد سیستم را خاموش کند. این سناریو خطر جانی ندارد و فقط موجب ایجاد خسارت مالی به سازمان می‌شود. با این حال مهاجم می‌تواند با تغییر منطق به تشخیص ندادن حالت اضطراری، موجب خسارت‌های جانی شود.

محققان با توجه به توانایی‌های بالای بدافزار که آن را هم رده بدافزار‌های خطرناک قبلی سیستم‌های کنترل صنعتی همچون استاکس‌نت می‌کند، آن را تهدیدی جدی برای سیستم‌های کنترل صنعتی می‌دانند.

تحت نظارت وف ایرانی